Votre panier est actuellement vide !
Nouvelle politique ministérielle de sécurité numérique (PMSN)
politique de sécurité informatique, politique ministérielle de sécurité numérique, secret défense, sécurité informatique
La nouvelle politique ministérielle de sécurité numérique (PMSN) a été mise en place par Arrêté du 13 décembre 2023.
Périmètre d’application
Elle s’applique aux entités des ministères économiques et financiers responsables de systèmes d’information et de communication ministériels, c’est-à-dire de systèmes d’information et de communication sur lesquels s’appuient les missions des ministères économiques et financiers, à l’exception des systèmes d’information et de communication traitant des informations protégées par le secret de la défense nationale, soumis à l’instruction générale interministérielle n° 1300 et à l’instruction ministérielle qui en assure la déclinaison.
La PMSN ne s’impose pas aux organismes publics sous tutelle et aux autorités administratives indépendantes.
Lignes directrices pour les autorités administratives indépendantes
Elle tient toutefois lieu de lignes directrices pour les autorités administratives indépendantes, ainsi que pour les établissements publics dans le cadre de la mise en œuvre du décret n° 2022-513 du 8 avril 2022 et de l’arrêté du 26 octobre 2022 portant approbation de l’instruction générale interministérielle n° 1337/SGDSN/ANSSI.
La PMSN s’applique sans préjudice des autres réglementations éventuellement applicables, notamment celles relatives à la protection des données à caractère personnel ou à la protection des systèmes d’information essentiels ou d’importance vitale.
Le texte officiel
POLITIQUE MINISTÉRIELLE DE SÉCURITÉ NUMÉRIQUE (PMSN)
TABLE DES MATIÈRES
Périmètre d’application
Déclinaison ministérielle de la PMSN
Validation et évolutions de la PMSN
Délai d’application
Organisation de la sécurité numérique
Rapports annuels, feuille de route et comitologie
Ressources humaines
Maîtrise des informations et des systèmes
Gestion des droits et des accès
Exploitation des systèmes
Sécurité physique
Traitement des alertes, incidents et crises
Continuité d’activité
Audits et contrôles
Indicateurs
Glossaire
Périmètre d’application
La présente politique ministérielle de sécurité numérique (PMSN) s’applique aux entités des ministères économiques et financiers responsables de systèmes d’information et de communication ministériels, c’est-à-dire de systèmes d’information et de communication sur lesquels s’appuient les missions des ministères économiques et financiers, à l’exception des systèmes d’information et de communication traitant des informations protégées par le secret de la défense nationale, soumis à l’instruction générale interministérielle n° 1300 et à l’instruction ministérielle qui en assure la déclinaison.
La PMSN ne s’impose pas aux organismes publics sous tutelle et aux autorités administratives indépendantes.
Elle tient toutefois lieu de lignes directrices pour les autorités administratives indépendantes, ainsi que pour les établissements publics dans le cadre de la mise en œuvre du décret n° 2022-513 du 8 avril 2022 et de l’arrêté du 26 octobre 2022 portant approbation de l’instruction générale interministérielle n° 1337/SGDSN/ANSSI.
La PMSN s’applique sans préjudice des autres réglementations éventuellement applicables, notamment celles relatives à la protection des données à caractère personnel ou à la protection des systèmes d’information essentiels ou d’importance vitale.
Déclinaison ministérielle de la PMSN
Les dispositions de la PMSN sont applicables directement aux entités ministérielles, en donnant lieu selon le cas à des documents d’application (procédures, fiches de désignation, etc.). Ces documents d’application sont tenus à disposition du fonctionnaire de sécurité des systèmes d’information (FSSI).
Des dispositions propres à chaque entité ou à un projet informatique particulier peuvent compléter et préciser la PMSN. Ces dispositions peuvent, le cas échéant, donner lieu à une Politique de sécurité numérique spécifique, élaborée par l’entité concernée.
Les dispositions de la PMSN sont complétées par des standards techniques ministériels de sécurité numérique, établis par le FSSI en concertation avec les entités ministérielles et validés collégialement à l’occasion des comités ministériels de pilotage de la sécurité numérique.
Le FSSI maintient à jour et tient à disposition des entités ministérielles les standards ministériels ainsi que la liste des guides de l’Agence nationale de la sécurité des systèmes d’information (ANSSI) applicables.
Les éventuelles demandes de dérogation à la PMSN et aux standards techniques ministériels sont adressées au FSSI, qui en assure l’instruction pour le compte du haut fonctionnaire de défense et de sécurité (HFDS). Les demandes sont justifiées et limitées dans le temps, et planifient les actions permettant une mise en conformité avec les règles de la PMSN et des standards.
Validation et évolutions de la PMSN
La PMSN et ses évolutions sont proposées par le HFDS à la validation du ministre.
Les propositions d’évolution sont préparées par le FSSI en tenant compte de l’évolution des textes interministériels, du retour d’expérience de l’application de la PMSN et des demandes des entités ministérielles.
Délai d’application
Les dispositions de la PMSN sont applicables dès sa publication.
Organisation de la sécurité numérique
Ministres
Les ministres assurent la responsabilité générale de la sécurité des systèmes d’information relevant de leur périmètre d’attribution.
Haut fonctionnaire de défense et de sécurité – fonctionnaire de sécurité des systèmes d’information
Le Haut fonctionnaire de défense et de sécurité (HFDS) conseille chaque ministre en matière de sécurité numérique des systèmes d’information et de communication ministériels.
A cet effet il s’appuie sur un fonctionnaire de sécurité des systèmes d’information (FSSI), placé sous son autorité et désigné par le ou les ministres.
Le FSSI est chargé de proposer les règles de sécurité numériques applicables aux systèmes d’information et de communication des entités ministérielles, de conseiller les entités ministérielles dans la bonne prise en compte de ces règles, et d’évaluer et contrôler leur mise en œuvre.
Le FSSI joue par ailleurs un rôle opérationnel dans le suivi et le traitement des signalements, alertes, incidents de sécurité et crises portant sur les systèmes d’information et de communication ministériels, en appui des entités concernées.
En cas d’incident majeur ou de crise, le FSSI peut proposer au HFDS de prescrire à une ou plusieurs entités ministérielles des mesures de sécurité spécifiques, ainsi que de déclencher un dispositif de crise.
Autorités qualifiées en sécurité des systèmes d’information
Chaque système d’information et de communication ministériel est sous la responsabilité d’une Autorité qualifiée en sécurité des systèmes d’information (AQSSI).
Les AQSSI ministérielles sont désignées par arrêté du ou des ministres compétents. Ces désignations suivent le principe selon lequel l’AQSSI est responsable de la sécurité des systèmes d’information et de communication qui contribuent à l’exécution des missions dont elle a la charge.
Cette responsabilité implique la mise en place et le contrôle d’une organisation, de procédures et de mesures de sécurité numérique, prises en application de la présente PMSN et des textes interministériels applicables.
Autorités d’homologation
L’AQSSI a en particulier en charge l’homologation des systèmes d’information et de communication de son périmètre, selon les principes de la présente PMSN.
L’AQSSI peut déléguer le rôle d’autorité d’homologation (AH) à un ou plusieurs agents de son entité. Cette délégation respecte le principe selon lequel l’autorité d’homologation doit être en position hiérarchique d’endosser la responsabilité de la mise en production du système d’information et de communication, en acceptant les risques résiduels identifiés, et d’engager les moyens humains et financiers nécessaires au maintien, à l’adaptation ou au renforcement des mesures de sécurité numérique s’appliquant au système. Un système d’information et de communication ne peut être sous la responsabilité que d’une seule autorité d’homologation.
Les désignations d’autorités d’homologation sont formalisées et communiquées au FSSI.
Conseillers à la sécurité numérique
Pour l’appuyer dans sa mission en matière de sécurité numérique, chaque AQSSI désigne un conseiller à la sécurité numérique (CSN).
Les désignations de CSN sont formalisées et communiquées au FSSI.
Le CSN propose à l’AQSSI, en liaison le cas échéant avec le responsable de la structure en charge du numérique de l’entité, l’organisation et les orientations permettant d’assurer la maîtrise des risques de sécurité numérique sur son périmètre. Le CSN en suit la mise en œuvre et en évalue l’efficacité.
Le CSN intervient en tant que de besoin au comité de direction de son entité, pour aborder et traiter les sujets relatifs à la maîtrise des risques de sécurité numérique.
La lettre de mission et le choix du CSN sont définis en tenant compte des orientations ministérielles fixées par le HFDS.
Organisation des responsabilités en matière de sécurité numérique au sein d’une entité – responsables de la sécurité des systèmes d’information
L’organisation de la sécurité numérique d’une entité prévoit l’attribution formelle des responsabilités en matière de sécurité numérique pour :
– la sensibilisation des maîtrises d’ouvrage, utilisateurs et exploitants aux risques de sécurité numérique et aux règles à respecter ;
– la préparation du corpus documentaire de l’entité en matière de maîtrise des risques de sécurité numérique (politiques, procédures, etc.) ;
– l’identification et la prise en compte des besoins de sécurité numérique des maîtrises d’ouvrage, la préparation et la réalisation des homologations de sécurité de systèmes d’information et de communication ;
– la gestion opérationnelle des mesures de sécurité numérique (administration et exploitation des dispositifs de sécurité, des outils de surveillance, traitement des alertes, incidents et crises) ;
– le pilotage des contrôles et audits de sécurité numérique, et le suivi des plans d’actions qui en découlent.
Sauf exception justifiée auprès du HFDS, la coordination de ces actions est du ressort d’un ou plusieurs responsables de la sécurité des systèmes d’information (RSSI) désignés à cet effet.
L’organisation choisie et les désignations effectuées par les entités ministérielles sont communiquées au FSSI par le CSN.
Responsable du service du numérique ministériel – Responsables des structures en charge du numérique au sein des entités ministérielles
Le chef du service du numérique ministériel s’assure de la bonne prise en compte de la sécurité numérique dans les orientations données au niveau ministériel, en intégrant les enjeux liés au respect de la politique ministérielle de sécurité numérique.
Les responsables des structures en charge du numérique (« directeur des systèmes d’information » – DSI) de chaque entité s’assurent de la prise en compte de la sécurité numérique au cours des phases de projet et d’exploitation des systèmes d’information et de communication de leur périmètre. Ils intègrent à leur schéma directeur un volet sur la sécurité numérique.
Rapports annuels, feuille de route et comitologie
Niveau stratégique
Rapports annuels des entités ministérielles
Chaque entité élabore un rapport annuel sur la sécurité numérique de ses systèmes, auquel une liste d’indicateurs techniques (bilans annuels) définis par arrêté ministériel est annexée.
Ce rapport annuel, élaboré sous la supervision du CSN et présenté par ce dernier à l’AQSSI, s’articule autour des rubriques suivantes :
– appréciation de la menace de sécurité numérique pour l’entité ;
– enjeux de sécurité numérique des systèmes d’information et de communication de l’entité ;
– niveau de sécurité numérique perçu des systèmes d’information et de communication de l’entité – actions de sécurisation menées durant l’année écoulée ;
– proposition de feuille route pour la poursuite de la sécurisation des systèmes d’information et de communication de l’entité dans l’année à venir.
Les rapports annuels sont transmis au HFDS au cours du premier trimestre de l’année suivant l’année d’analyse.
Dès lors qu’il le juge utile, le HFDS rencontre chaque AQSSI, afin d’évoquer les points d’attention majeurs de la sécurité numérique de l’entité.
Bilan annuel et feuille de route ministériels
Au niveau ministériel, le HFDS élabore avec l’appui du FSSI un bilan annuel de la sécurité numérique du ministère, accompagné d’une proposition de feuille de route pour la sécurité numérique ministérielle.
Instance stratégique ministérielle de la sécurité numérique
Ce bilan et cette feuille de route sont présentés par le HFDS à chaque ministre lors d’un comité stratégique ministériel de la sécurité numérique, réunissant l’ensemble des AQSSI au cours du 1er trimestre de chaque année. Le ministre valide à cette occasion la feuille de route ministérielle pour la sécurité numérique.
En complément, la sécurité numérique est à l’ordre du jour du comité stratégique ministériel des systèmes d’information et de communication.
Niveau opérationnel
Comitologie interne à chaque entité
Chaque entité définit une comitologie opérationnelle interne en matière de sécurité numérique, adaptée à ses spécificités.
Cette comitologie associe le CSN, les équipes en charge du numérique (DSI), ainsi que les personnels disposant d’attributions en matière de sécurité numérique.
Elle permet de suivre l’avancement des actions organisationnelles et techniques de l’entité pour la sécurité numérique, en couvrant notamment les domaines suivants :
– élaboration et maintien à jour du corpus documentaire fixant l’organisation, les règles et les procédures pour la sécurité numérique ;
– avancement des inventaires et homologations de systèmes d’information et de communication ;
– avancement des actions de sensibilisation et de formation des agents et exploitants ;
– planification et conclusions des audits et contrôles de sécurité – avancement des plans d’action issus de ces audits et contrôles ;
– retour d’expérience de l’actualité opérationnelle (alertes, incidents, crises) et, le cas échéant, mise en œuvre des prescriptions liées à l’actualité opérationnelle ;
– avancement des projets techniques de sécurisation des systèmes d’information et de communication.
Comités de pilotage ministériels de la sécurité numérique
Au niveau ministériel, le FSSI anime pour le compte du HFDS les comités de pilotage ministériels de la sécurité numérique, réunissant les CSN et RSSI des entités ministérielles. Le HFDS ou le HFDS adjoint président ces comités en tant que de besoin.
L’ordre du jour des comités de pilotage ministériels de la sécurité numérique couvre les domaines suivants :
– avancement des travaux interministériels et ministériels en matière de définition de la gouvernance et des règles de sécurité numérique ;
– préparation et compte rendu des instances interministérielles stratégiques (COSINUS) et opérationnelles (CINUS) de pilotage de la sécurité numérique, ainsi que du comité stratégique ministériel de la sécurité numérique ;
– mise en œuvre de la feuille de route ministérielle de la sécurité numérique ;
– actualité opérationnelle de la sécurité numérique (alertes, incidents, crises) et, le cas échéant, mise en œuvre des prescriptions liées à cette actualité ;
– élaboration des règles et standards techniques ministériels en matière de sécurité numérique ;
– avancement des projets ministériels portant sur le renforcement de la sécurité numérique.
Les comptes rendus de ces comités sont diffusés aux AQSSI, CSN, RSSI et responsables des structures en charge du numérique.
Ressources humaines
Vérification des antécédents – habilitations
Les personnels auxquels sont confiées des fonctions en matière de sécurité numérique ou disposant de privilèges d’administration sur les systèmes d’information, font l’objet d’une vérification de leurs antécédents, conformément aux dispositions applicables aux agents publics.
De façon à pouvoir accéder à toute information utile sur la menace, les DSI, CSN et RSSI sont habilités au secret de la défense nationale, sauf dérogation accordée par le HFDS.
Vérification des compétences
Les personnels assurant des fonctions opérationnelles en matière de sécurité numérique ou disposant de privilèges d’administration sur les systèmes d’information, disposent d’un socle de connaissances adapté au poste et bénéficient des formations complémentaires permettant de compléter et entretenir les compétences qu’ils exercent à ce titre.
Chartes de sécurité
La charte ministérielle d’usage des outils numériques ou une déclinaison de cette charte, précise les mesures de sécurité à appliquer par les utilisateurs.
Une charte spécifique, précisant les obligations des exploitants en matière de sécurité, est définie par chaque entité.
Ces chartes, opposables, sont portées à la connaissance des intéressés, qui s’engagent à les respecter.
Sensibilisation
Les utilisateurs et exploitants de systèmes d’information et de communication font l’objet d’une sensibilisation préalable à l’accès aux systèmes, puis régulière.
La sensibilisation initiale couvre les domaines suivants :
– aperçu des systèmes d’information et de communication ministériels mis à disposition, de leurs niveaux de sensibilité et de leurs fonctionnalités de sécurité ;
– état de la menace susceptible de cibler les systèmes d’information et de communication ministériels, présentant une typologie des attaquants et de leurs principaux modes opératoires ;
– règles de sécurité à respecter pour l’utilisation des systèmes d’information et de communication ministériels, sur site et en situation de nomadisme ou de télétravail ;
– restrictions visant l’utilisation d’équipements personnels et l’usage personnel d’équipements professionnels ;
– précautions à prendre lors de l’échange d’informations avec des tiers ou lors de l’utilisation de systèmes d’information fournis par des tiers ;
– conduite à tenir en cas d’incident ou d’événement suspect ;
– sanctions encourues en cas de non-respect des règles.
Sanctions
Le non-respect des règles d’usage des outils numérique, notamment des règles de sécurité, par les utilisateurs et exploitants peut, selon sa gravité (et sans préjudice des sanctions prévues par d’autres réglementations), être un motif de sanctions administratives.
Maîtrise des informations et des systèmes
Systèmes d’information et de communication utilisés dans un contexte professionnel
Seuls les moyens informatiques et de communication (matériels ou logiciels) mis à disposition ou validés par le service en charge du numérique compétent peuvent être utilisés dans un contexte professionnel par les agents des ministères économiques et financiers.
Analyse de risque globale au niveau de chaque entité
Chaque entité conduit une analyse de risques globale permettant d’identifier les informations et systèmes d’information sur lesquels s’appuient ses missions essentielles. Cette analyse de risque tient des comptes des orientations fixées par le FSSI, s’agissant de la méthodologie et du socle de risques à prendre en compte.
Classification des informations
Chaque entité définit une classification par niveau de sensibilité des informations qu’elle manipule.
A chaque niveau de sensibilité correspondent des règles de protection et de diffusion (choix des destinataires de l’information), portées à la connaissance des parties prenantes.
Cette classification est établie en distinguant les catégories suivantes :
– les informations publiques.
Ces informations ne sont pas sensibles en confidentialité mais peuvent selon le cas être sensibles en intégrité ou en disponibilité. Les mesures de sécurité couvrant ces aspects sont définies dans le cadre des homologations de sécurité des systèmes qui hébergent ces informations ;
– les informations usuelles ou « internes ».
Ces informations, manipulées par les entités dans le cadre de l’activité professionnelle courante, bénéficient du socle de mesures de sécurité numérique applicables à l’ensemble des entités ministérielles, complétées le cas échéant par les mesures définies dans le cadre des homologations de sécurité.
Ces informations sont diffusées au sein de l’entité et auprès de ses partenaires publics ou privés, dans le respect du principe du besoin d’en connaître.
Elles ne font pas nécessairement l’objet d’un marquage, même si elles peuvent parfois être qualifiées de « Non Protégées » (NP) ;
– les informations « sensibles ».
Les informations sensibles sont les informations dont la divulgation à des personnes non autorisées, l’altération ou l’indisponibilité sont de nature à porter atteinte à la réalisation des objectifs des entités qui les mettent en œuvre. Les systèmes qui les traitent font l’objet de mesures de sécurité renforcées, définies selon les principes de l’II 901, sous réserve des réglementations spécifiques applicables.
Les informations confidentielles sont une catégorie d’informations sensibles. Entrent notamment dans cette catégorie : les données à caractère personnel, les informations correspondant à un secret couvert par la loi, les informations Diffusion Restreinte (DR) définies par l’IGI 1300. Ces informations font l’objet de règles de protection et de diffusion renforcées, portées à la connaissance des personnes qui y ont accès.
Les informations DR sont protégées et diffusées conformément aux règles fixées par l’annexe 1 de l’IGI 1300 et l’II901. En particulier, elles ne sont manipulées que sur des systèmes d’information homologués au niveau DR et sont, en dehors de ces systèmes, protégées par un moyen de chiffrement agréé par l’ANSSI. Lorsqu’elles sont transmises au format papier, elles sont protégées par une double enveloppe et font l’objet d’un mécanisme permettant de garantir leur bonne réception. La rediffusion d’une information DR ne se fait qu’avec l’accord de son émetteur.
La mention DR est portée en rouge sur les supports de stockage et sur chaque page des documents DR, et apparaît par ailleurs explicitement dans les noms des fichiers ;
– les informations protégées par le secret de la défense nationale.
Ces informations font l’objet de mesures de sécurité renforcées, définies par l’IGI 1300 et l’instruction ministérielle prise pour son application.
Le recours systématique à un marquage et à un nommage des documents, faisant apparaître le niveau de sensibilité et les règles de protection attendues, est fortement recommandé.
Inventaire des systèmes d’information et de communication
Chaque entité établit et tient un jour la liste des systèmes d’information et de communication de son périmètre de responsabilité.
Etablie selon les directives du HFDS, cette liste précise notamment pour chaque système son niveau de sensibilité (critères de disponibilité, intégrité, confidentialité, traçabilité) et les parties prenantes, que ce soit pour son utilisation, sa conception et son développement, son exploitation ou sa surveillance.
Inventaire des ressources matérielles et logicielles
En complément de la liste de ses systèmes, chaque entité élabore et tient un jour la liste de ses ressources matérielles et logicielles, mentionnant leurs modèles et versions ainsi que leurs propriétaires et responsables.
Dès lors que cela est possible, cet inventaire est établi à l’aide d’un outil informatique spécialisé, permettant d’y effectuer simplement des recherches.
Cartographie
Chaque système d’information et de communication fait l’objet d’une cartographie d’un niveau de profondeur adapté à sa sensibilité, comportant une vue fonctionnelle et une vue technique. La vue technique inclut notamment les aspects liés au réseau (identification des réseaux et sous-réseaux, cloisonnement, interconnexions) et au positionnement des équipements.
Homologation de sécurité des systèmes d’information
Chaque système d’information fait l’objet d’une homologation de sécurité préalablement à sa mise en service.
L’homologation est la décision formelle de l’autorité d’homologation, attestant que le système est protégé conformément aux enjeux identifiés par son commanditaire, et que les éventuels risques résiduels sont compris et acceptés.
La décision d’homologation mentionne explicitement sa durée de validité, les risques résiduels acceptés, les demandes de dérogation aux règles applicables, et les conditions, notamment les plans d’actions, assorties à l’homologation.
L’homologation est prononcée pour une durée maximale de 5 ans. Tout renouvellement d’homologation d’un système en production est prononcé avant expiration de l’homologation en cours. Les plans d’action prévus dans le cadre des homologations font l’objet de revues de sécurité à une fréquence au moins annuelle.
De manière exceptionnelle, lorsque les conditions ne sont pas réunies pour une homologation mais que néanmoins la nécessité opérationnelle impose sans délai l’utilisation d’un système, une autorisation provisoire d’emploi (APE), d’une durée maximale d’1 an et assortie d’un plan d’actions en vue de l’homologation, peut être prise par l’autorité d’homologation.
Toute homologation ou APE est prononcée sur la base d’un dossier d’homologation, à l’issue d’une commission d’homologation.
Le dossier d’homologation est constitué dans le cadre d’une démarche d’homologation, impliquant les correspondants du métier (maîtrises d’ouvrage) et les équipes techniques concevant, développant, mettant en place et exploitant le système.
Le dossier d’homologation s’appuie sur une évaluation des besoins de sécurité du système, établie en liaison avec les correspondants des maîtrises d’ouvrage. Tenant compte de la sensibilité du système établie sur la base du besoin de sécurité, une stratégie d’homologation, précisant notamment les rôles et responsabilités pour la sécurité numérique du système, la profondeur de la démarche et le contenu du dossier d’homologation, est définie conformément aux standards ministériels et aux lignes directrices de l’ANSSI. Cette stratégie d’homologation peut le cas échéant être commune à plusieurs systèmes.
Le dossier d’homologation comprend au minimum, outre la stratégie d’homologation :
– une présentation du système concerné, de son périmètre, de ses enjeux de sécurité, de ses parties prenantes ;
– une matrice de conformité aux réglementations et standards applicables ;
– une analyse de risques établie selon une méthodologie reconnue, précisant les risques bruts, les mesures de réduction du risque mises en œuvre ou prévues (plan d’actions), les risques résiduels.
Le dossier d’homologation référence par ailleurs la documentation suivante :
– le dossier d’architecture technique et la cartographie du système ;
– le cas échéant, les politiques de sécurité propres au système ;
– les procédures de sécurité applicables au système : sensibilisation, exploitation (configuration, administration, maintien en condition de sécurité, journalisation, gestion des droits, gestion des supports amovibles, mise au rebut), surveillance, gestion des alertes et incidents, sécurité physique, plans de continuité et de reprise (PCI-PRI) ;
– le cas échéant les clauses de sécurité numérique prévues avec les prestataires.
Pour les systèmes identifiés par l’entité comme présentant un niveau de sensibilité élevé, le dossier d’homologation inclut des rapports d’audits de sécurité réalisés selon le référentiel de l’ANSSI et couvrant au moins les volets : architecture, configuration, test d’intrusion. En fonction des spécificités des systèmes, des audits de sécurité physique, organisationnel, de code, peuvent être prévus en complément.
Pour les renouvellements d’homologation, le dossier d’homologation inclut les rapports d’application des procédures de sécurité applicables, un bilan des incidents significatifs, une synthèse des évolutions du système depuis la précédente homologation.
La commission d’homologation, présidée par l’Autorité d’homologation, rassemble : les représentants des maîtrises d’ouvrage, les représentants des équipes techniques, les responsables ou correspondants de sécurité des systèmes d’information, le CSN ou son représentant, le FSSI ou son représentant.
Elle vise à répondre aux éventuelles interrogations de l’Autorité d’homologation et des membres de la commission, et à recueillir l’avis du CSN et du FSSI.
Le FSSI est informé de toute commission d’homologation avec un préavis d’au moins deux semaines minimum, les dossiers d’homologation devant lui être transmis avec un préavis d’au moins une semaine.
Conception et développement des systèmes
La conception et le développement des systèmes d’information et de communication intègrent les exigences réglementaires et bonnes pratiques applicables, en particulier dans les domaines suivants :
– architecture (organisation et cloisonnement du réseau, en incluant les passerelles d’interconnexion et les moyens d’administration dédiés, positionnement et choix des fonctions de sécurité notamment en matière de filtrage, de contrôle d’accès et de détection, etc.) ;
– configuration, avec la recherche d’un durcissement ne permettant que les fonctionnalités et flux strictement nécessaires ;
– développement de code.
Les dispositions prises apparaissent dans les dossiers d’homologation de chaque système.
Gestion des prestataires et fournisseurs
Les mesures nécessaires sont prises par chaque entité de façon à ce que le niveau de sécurité requis par chaque système soit atteint, y compris en cas de recours à des prestataires ou fournisseurs.
Des clauses de sécurité sont prévues dans les contrats avec les prestataires ou fournisseurs. Ces clauses couvrent au moins les aspects suivants :
– règles de sécurité organisationnelles et techniques à mettre en œuvre par le prestataire ou le fournisseur, liées aux référentiels applicables ou aux exigences spécifiques du système ;
– exigences spécifiques relatives à la vérification des antécédents ou à l’habilitation des personnels ;
– exigences spécifiques relatives au maintien en conditions de sécurité et à la gestion des alertes et incidents ;
– protection des informations échangées entre l’entité et le prestataire ou le fournisseur ;
– contrôle du respect par le prestataire ou le fournisseur des exigences qui lui sont fixées.
L’externalisation d’un système auprès d’un prestataire n’est possible que si les clauses de sécurité avec ce prestataire garantissent un niveau de sécurité compatible avec les exigences du système considéré.
Produits et prestataires qualifiés
Chaque entité recourt à des produits ou services qualifiés par l’ANSSI ou disposant de visas de sécurité délivrés par l’ANSSI, dès lors que ceux-ci sont disponibles et adaptés au besoin de sécurité des systèmes. A défaut, la démonstration d’une conformité avec les référentiels de l’ANSSI est recherchée.
Informatique en nuage « Cloud »
Le recours aux offres Cloud est effectué conformément à la stratégie Cloud de l’Etat, en fonction de l’appréciation du niveau de sensibilité des données concernées.
Utilisation d’outils sur étagère
Le recours à des outils fournis par des tiers, « sur étagère », s’inscrit dans la démarche d’homologation. Cette démarche d’homologation peut être simplifiée s’il est établi que les données traitées par l’outil ne portent pas d’enjeu de confidentialité, d’intégrité ou de disponibilité. Elle peut alors prendre la forme d’une analyse de sécurité, validée par l’autorité d’homologation et couvrant au moins les sujets suivants :
– besoin de sécurité de l’entité ;
– garanties de sécurité offertes par l’outil ;
– consignes d’utilisation de l’outil ;
– lieu d’hébergement de l’outil ;
– impact de l’utilisation de l’outil sur la sécurité du système d’information de l’entité qui y accède.
Gestion des droits et des accès
Les accès aux systèmes d’information et de communication sont contrôlés à l’aide de dispositifs d’authentification et tracés.
Les droits sont définis au strict nécessaire, par profil de personnel, suivant les directives formalisées par chaque entité.
Les droits d’utilisateur et d’administrateur sont cloisonnés, en étant affectés à des profils distincts.
L’attribution et le retrait des droits font l’objet de procédures formalisées, en liaison avec les processus RH d’arrivée et de départ des agents.
Une revue des droits des utilisateurs et exploitants est conduite régulièrement par chaque entité, à une fréquence au moins annuelle pour les utilisateurs et semestrielle pour les exploitants.
Exploitation des systèmes
L’exploitation des systèmes d’information et de communication fait l’objet de procédures formalisées, référencées dans les dossiers d’homologation de chaque système.
Ces procédures d’exploitation intègrent les exigences réglementaires et bonnes pratiques applicables, en particulier dans les domaines suivants :
– administration ;
– revue des comptes et privilèges ;
– gestion des changements et évolutions ;
– maîtrise des logiciels installés ;
– maîtrise des supports amovibles ;
– maintien en conditions de sécurité ;
– lutte contre les logiciels malveillants ;
– journalisation, surveillance et détection.
Sécurité physique
L’accès aux sites hébergeant les systèmes d’information ministériels fait l’objet de mesures de protection physique adaptées, conformément au référentiel de sûreté bâtimentaire des ministères économiques et financiers ou, le cas échéant, au référentiel de sûreté bâtimentaire spécifique de l’entité concernée.
Ces mesures de protection s’articulent autour de la protection périmétrique, du contrôle d’accès, de la détection d’intrusion et de la mise en place de moyens de surveillance et d’intervention.
Les personnels accédant aux sites doivent être préalablement autorisés, soit de manière permanente au titre de leur fonction, soit de manière ponctuelle.
Les accès aux sites ou locaux hébergeant des infrastructures ou des équipements sensibles, sont tracés. L’historique des accès est conservé pendant au moins 3 mois et est analysé sur une base régulière, au moins hebdomadaire.
Les personnels accédant de manière autonome aux sites hébergeant des infrastructures ou des équipements sensibles, sont préalablement habilités à ce titre. Dès lors que cela est possible, lorsqu’une réglementation applicable le permet, une vérification préalable puis régulière des antécédents de ces personnels est conduite.
Les intervenants ou visiteurs non habilités sont obligatoirement accompagnés par un personnel habilité.
Les mesures du plan Vigipirate (socles, additionnelles en fonction de la posture en cours) sont appliquées.
Traitement des alertes, incidents et crises
Traitement des alertes et incidents
Chaque entité met en place une organisation et des moyens permettant de prendre en compte, analyser et traiter toute alerte ou tout signalement relatif à une vulnérabilité, un événement de sécurité ou incident susceptible d’affecter un ou plusieurs systèmes d’information et de communication de l’entité.
En particulier, chaque entité met en place, pour ses systèmes sensibles, une capacité de prise en compte et de premier traitement des alertes, mobilisable en dehors des heures ouvrées.
Les entités notifient au FSSI et à l’ANSSI, dans les meilleurs délais, les incidents significatifs affectant leurs systèmes, en particulier tout incident affectant les systèmes identifiés comme sensibles. Elles tiennent le FSSI et l’ANSSI informés des principales étapes du traitement de ces incidents.
Ces exigences sont précisées par le service du HFDS dans un document (standard) ministériel d’application.
Gestion de crise
Chaque entité met en place une organisation et des moyens permettant la gestion des crises comportant un volet relatif à la sécurité numérique.
Cette organisation et ces moyens sont intégrés dans l’organisation de crise générale, articulée autour de composantes décisionnelle (stratégique) et opérationnelle.
Ces exigences sont précisées par le service du HFDS dans un document (standard) ministériel d’application.
Continuité d’activité
Chaque entité définit et met en œuvre, pour ses systèmes d’information et de communication présentant une sensibilité en disponibilité, des plans de continuité ou de reprise informatiques (PCI/PRI). Ces plans définissent l’organisation et les moyens mis en œuvre pour assurer la continuité ou la reprise des systèmes en cas d’incident majeur.
Ces plans sont présentés dans les dossiers d’homologation et testés régulièrement, à une fréquence adaptée à la sensibilité des systèmes concernés.
En complément de ces plans, les systèmes d’information et de communication présentant une sensibilité en disponibilité font, afin de renforcer leur résilience, l’objet de dispositions préventives adaptées, relatives notamment à leur architecture, à leur configuration, à l’organisation de leur maintenance. Ces dispositions sont précisées dans les dossiers d’homologation.
Audits et contrôles
Les systèmes d’information et de communication ministériels font l’objet d’audits réguliers, à une fréquence adaptée à leur niveau de sensibilité.
Ces audits peuvent être réalisés par des équipes internes à l’entité, par d’autres services de l’Etat ou par des prestataires. Dans tous les cas, les auditeurs doivent être indépendants des équipes assurant la conception, le développement ou l’exploitation de ces systèmes.
Ces audits peuvent prendre la forme de contrôles, lorsqu’ils visent un prestataire ou lorsqu’ils sont réalisés à l’initiative d’une autorité distincte de l’autorité d’homologation.
Planification des audits
Chaque entité définit une stratégie d’audits et de contrôles s’articulant autour :
– d’audits s’inscrivant dans le cadre de la démarche d’homologation des systèmes, pilotés par les responsables opérationnels des systèmes : audits préalables à homologation, audits planifiés au cours de la vie des systèmes ;
– d’audits et contrôles ponctuels, effectués notamment à la demande de l’AQSSI ou de l’autorité d’homologation.
Au niveau ministériel, le HFDS, en s’appuyant sur l’équipe du FSSI, conduit des contrôles ponctuels sur les systèmes d’information et de communication des entités ministérielles.
Les services d’inspection ministériels sont par ailleurs susceptibles de conduire des missions d’audit portant sur la sécurité numérique.
Types d’activités d’audit
Les audits peuvent porter sur les volets suivants :
– conformité à une réglementation, à une norme ou à un référentiel ;
– organisation ;
– sécurité physique ;
– architecture ;
– configuration ;
– sécurité du code (audit de code) ;
– test d’intrusion.
Méthodologie d’audit
Les audits et contrôles sont réalisés par des auditeurs ou à l’aide d’outils automatisés.
Les activités des auditeurs sont réalisées conformément aux préconisations du référentiel d’audit de l’ANSSI (référentiel PASSI).
Les activités d’audit sont encadrées par une convention précisant notamment :
– l’objectif, le périmètre, et la durée de l’audit ;
– les personnels impliqués, dont les compétences sont vérifiées et qui doivent s’engager à suivre des règles déontologiques strictes ;
– les moyens et procédés techniques mis en œuvre, ainsi que les précautions prises pour limiter les impacts sur le fonctionnement et la sécurité des systèmes ;
– les précautions prises pour protéger les données issues de l’audit.
Indicateurs
En complément des audits et contrôles, des indicateurs relatifs à la sécurité numérique sont définis et évalués au moins annuellement pour chaque entité.
Ces indicateurs s’appuient sur les orientations fixées par l’ANSSI et sur les exigences spécifiques définies par arrêté ministériel.
Ces indicateurs peuvent être de nature technique ou porter sur la conformité à des règles ou référentiels applicables. Ils peuvent être évalués sur une base déclarative ou à l’aide d’outils automatisés.
Glossaire
Système d’information et de communication : Au sens de la présente politique, un système d’information et de communication, ou système d’information, est un sous-ensemble d’un système d’information et de communication de l’Etat mis en œuvre par une direction ou un service d’un ministère.
Le système d’information et de communication de l’Etat est défini à l’article 1er du décret n° 2019-1088 du 25 octobre 2019 relatif au système d’information et de communication de l’Etat et à la direction interministérielle du numérique, comme étant l’ensemble des infrastructures et services logiciels informatiques permettant de collecter, traiter, transmettre et stocker sous forme numérique les données qui concourent aux missions des services de l’Etat et des organismes placés sous sa tutelle.
Entité : Au sens de la présente politique, une entité est une direction ou service rattaché à un ministre et mettant en œuvre des systèmes d’information pour l’exécution de ses missions.
Par extension, une entité peut également être un établissement public sous tutelle, pour lequel la présente politique constitue une ligne directrice dans le cadre de la mise en œuvre du décret n° 2022-513 du 8 avril 2022 et de l’arrêté du 26 octobre 2022 portant approbation de l’instruction générale interministérielle n° 1337/SGDSN/ANSSI.
